NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management

Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

[datensicherheit.de, 24.10.2024] „Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 ist der ,Chief Information Security Officer’ die gefragteste Person auf der obersten Führungsebene“, so Dr. Harald Schönfeld, Geschäftsführer der butterflymanager GmbH, in seiner aktuellen Stellungnahme. Er erläutert: „Cyber-Resilienz ist derzeit eines der Hauptthemen im Top-Management“ – er könne dies an einer „stark steigenden Nachfrage nach ,Chief Information Security Officers’ auf Zeit“ am Personalmarkt festmachen. Er berichtet: „Wir hatten noch nie so eine hohe Nachfrage nach Managern, die sich in Projekten auf Vorstands- oder Geschäftsleitungsebene um die Cyber-Rresilienz von Unternehmen kümmern sollen.“

Foto: butterflymanager GmbH

Dr. Harald Schönfeld: Vielen Führungskräften im Mittelstand ist offenbar erst spät klargeworden, dass NIS-2 nicht nur für KRITIS-Betreiber gilt, sondern für die gesamte -Wertschöpfungskette…

NIS-2 birgt Haftung auf Vorstands-, Geschäftsleitungs- und Aufsichtsratsebene

Das Gros der Nachfrage komme von mittelständischen Firmen, welche nicht selbst eine sogenannte Kritische Infrastruktur (KRITIS) betrieben, aber KRITIS-Unternehmen im Kundenstamm hätten. Der Hintergrund sei offensichtlich: Nach Umsetzung der EU-Cyber-Sicherheitsrichtlinie NIS-2 (Network & Information Security) in deutsches Recht hafteten die Firmen bei Hacker-Angriffen.

„Diese Haftung greift nach oben durch bis auf Vorstands- und Geschäftsleitungsebene“, warnt Dr. Schönfeld und erklärt, warum Cyber-Resilienz demnach plötzlich zum Top-Thema auf der obersten Führungsebene aufgestiegen ist. Er führt aus: „Verletzt das Top-Management seine Pflicht oder unterlässt die Einführung von Maßnahmen zur Minimierung von Cyber-Risiken, drohen hohe Bußgelder sowie rechtliche Konsequenzen für die Führungskräfte. Auch die Mitglieder der Überwachungs- und Kontrollorgane des Unternehmens stehen persönlich in der Haftung, insbesondere der Aufsichtsrat.“

NIS-2-Richtlinie setzt erhöhte Cyber-Sicherheitsstandards für Unternehmen ab 50 Mitarbeitern und zehn Millionen Euro Umsatz in 18 festgelegten Sektoren…

Die Anpassung an die neuen rechtlichen Vorgaben erfordere nicht nur technologische Investitionen, sondern ebenso sehr eine Stärkung der „Governance“-Strukturen: „,Governance’ ist im Grunde immer ein Thema für die oberste Führungsebene und den Aufsichtsrat. Deshalb suchen die Unternehmen einen ,Chief Information Security Officer’ und keinen bloßen Cyber-Sicherheitsexperten“, weiß Dr. Schönfeld aus Gesprächen mit Vorständen, Geschäftsführern und Aufsichtsräten.

Die NIS-2-Richtlinie setze erhöhte Cyber-Sicherheitsstandards für Unternehmen ab 50 Mitarbeitern und zehn Millionen Euro Umsatz in 18 festgelegten Sektoren, „die als ,kritisch’ für die Aufrechterhaltung wichtiger Infrastrukturen eingestuft werden“. Dazu gehörten die Branchen Energie, Transport, Bankwesen, Finanzmarkt-Infrastruktur, Gesundheit, Trinkwasser, Abwässer, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Herstellung sowie Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion sowie -verarbeitung und -vertrieb, Produktion und Herstellung von Medizinprodukten wie auch Maschinen und Fahrzeugen sowie elektrischen/elektronischen Geräten, ferner digitale Anbieter und Forschung.

Haftung infolge NIS-2 umfasst gesamte KRITIS-Wertschöpfungskette

„Vielen Führungskräften im Mittelstand ist offenbar erst spät klargeworden, dass NIS-2 nicht nur für die Betreiber Kritischer Infrastrukturen gilt, sondern für die gesamte KRITIS-Wertschöpfungskette, also auch alle Zulieferer“, so Dr. Schönfeld.

Deshalb sei Cyber-Resilienz in vielen Firmen beinahe über Nacht von der IT-Abteilung auf die Agenda der obersten Führungsebene und auch des Aufsichtsrates als Überwachungs- und Kontrollgremium gesetzt worden. Daher suche man nun auf Top-Ebene einen schnell verfügbaren Interim-Manager, welcher das Unternehmen in der Rolle des „Chief Information Security Officer“ auf die neuen NIS-2-Anforderungen einstellen könne.

BSI rechnet mit knapp 30.000 von NIS-2 betroffenen Firmen in Deutschland

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rechne mit knapp 30.000 von NIS-2 betroffenen Firmen in Deutschland, andere Zählungen kämen auf rund 40.000 Unternehmen über die gesamte Wertschöpfungskette hinweg. „Die hohe Nachfrage nach Interim-Managern zur Stärkung der Cyber-Resilienz auf Top-Ebene ist auch die Folge eines leergefegten Personalmarktes mit entsprechend qualifizierten Personen“, führt Dr. Schönfeld aus.

Er berichtet aus eigener Erfahrung als „Personaler“: „Immer häufiger erhalten wir einen Doppelauftrag: Einen Interim-Manager zu finden, der praktisch sofort als ,Chief Information Security Officer’ einspringt, und parallel dazu einen Manager zu suchen, der diese Funktion in dauerhafter Festanstellung antreten will.“ Der Erste gelinge ihnen immer kurzfristig, aber für die zweite Aufgabe gingen unter Umständen Monate dahin, um eine geeignete Führungskraft zu finden.

Weitere Informationen zum Thema:

datensicherheit.de, 16.10.2024
NIS-2 Richtlinie: Unternehmen müssen von der Reaktion zur Aktion gelangen / Technische Anforderungen der NIS-2-Richtlinie alles Andere als eine leichte Übung zum Abhaken

datensicherheit.de, 30.09.2024
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur / Anstatt zu der von NIS angestrebten Vereinheitlichung kam es in der Praxis zur Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes

datensicherheit.de, 26.09.2024
NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko / Lückenlose, aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien – von NIS-2 bis CRA